Mở nguồn Retargetable Decompiler đã sẵn sàng để chống phần mềm độc hại

Computer Security News

Cố gắng giải quyết các vấn đề phần mềm độc hại, các công ty anti-malware Avast vừa công bố việc phát hành của nó mở nguồn mã máy decompiler. Phần mềm tiện ích được gọi là Retargetable Decompiler (RetDec), và nó đã phát triển trong bảy năm.

RetDec đã được phát triển như là một dự án chung của khoa công nghệ thông tin của trường đại học công nghệ Brno ở Cộng hòa Séc và AVG Technologies. Tuy nhiên, vào năm 2016, công ty Avast mua AVG Technologies.

Retargetable Decompiler cung cấp cho một cơ hội để các chuyên gia bảo mật để làm cho nền tảng độc lập phân tích các tập tin thực thi. Nhờ mã nguồn của nó được đăng để GitHub dưới giấy phép MIT, RetDec là đã có sẵn miễn phí phí cho tất cả những người muốn nghiên cứu mã nguồn của nó, sửa đổi nó, và phát hành lại nó.

Bởi nguồn mở RetDec, anti-malware ty Avast cung cấp “một công cụ chung để biến đổi mã nền tảng cụ thể, chẳng hạn như x86/ PE file thực thi, thành một hình thức cao của các đại diện, chẳng hạn như mã nguồn C.”

Phần mềm tiện ích hỗ trợ nhiều nền tảng, kiến trúc khác nhau, định dạng tập tin và trình biên dịch. Kiến trúc được hỗ trợ bởi RetDec là: (32b) Intel x86, ARM, MIPS, PIC32, và PowerPC và các tập tin định dạng: ELF, PE, Mach-O, COFF, AR (lưu trữ), Intel HEX và nguyên máy mã.

Hiện nay, các Retargetable Decompiler có thể được sử dụng trên cả hai – Windows và các hệ thống Linux, Tuy nhiên, chỉ pre-xây dựng trọn gói cho Windows có sẵn. Người dùng Linux nên xây dựng và cài đặt decompiler của mình.

Công cụ RetDec cũng có thể được sử dụng để thực hiện các phân tích tĩnh của các tập tin thực thi với thông tin chi tiết; để biên dịch và packer phát hiện; để tải và hướng dẫn giải mã; Dựa trên chữ ký loại bỏ tĩnh liên kết thư viện mã; khai thác và sử dụng gỡ lỗi thông tin (LÙN, PDB), xây dựng lại của các thành ngữ chỉ dẫn; phát hiện và xây dựng lại của C++ class hierarchies (RTTI, vtables); demangling biểu tượng từ những chương trình C++ (GCC, MSVC, Borland); tái thiết của chức năng, các loại, và các cấu trúc cao cấp; và thế hệ của đồ thị cuộc gọi, điều khiển lưu lượng đồ thị và số liệu thống kê khác nhau.

Ngoài ra, người dùng có thể tận dụng lợi thế của disassembler tích hợp và sản lượng, trong đó có sẵn trong hai ngôn ngữ: C và một ngôn ngữ giống như Python. Lịch sự của một plugin IDA, decompilation tập tin trực tiếp từ IDA disassembler cũng có thể.

Thông thường, decompilers không thể tái tạo lại mã nguồn gốc hoàn toàn do kỹ thuật obfuscation người sáng tạo phần mềm độc hại sử dụng và thực tế rằng thông tin bị mất trong quá trình biên soạn.

Các chuyên gia Avast tuyên bố rằng Retargetable Decompiler địa chỉ vấn đề “bằng cách sử dụng một lượng lớn bộ kiến trúc được hỗ trợ và các định dạng tập tin, cũng như trong chẩn đoán và các thuật toán để giải mã và tái tạo lại các ứng dụng.”

Ngoài việc phát hành mã nguồn của RetDec, Avast cung cấp một số cách để tận dụng đầy đủ các công cụ, bắt đầu với dịch vụ web.

Ngoài ra, công ty đã thực hiện của nó IDA plugin có sẵn, cùng với một API phần còn lại cho phép việc tạo ra các ứng dụng có thể tương tác với RetDec thông qua các yêu cầu HTTP.

Retargetable Decompiler có thể được sử dụng thông qua API thông qua retdec-python.


Leave a Reply

Your email address will not be published. Required fields are marked *